Группа Black Basta планирует атаки через пакеты с открытым исходным кодом

Недавнее исследование выявило тревожные намерения группы программ-вымогателей Black Basta, которая активно планирует использовать реестры пакетов с открытым исходным кодом, такие как npm и PyPI, для распространения вредоносного программного обеспечения. Группа рассматривает тактику, связанную с путаницей зависимостей, чтобы обойти автоматизированные системы сборки и внедрить вредоносный код в законные проекты.
Тревожные намерения хакеров
Утечка логов внутренних чатов банды иллюстрирует их планы создать вредоносные пакеты, которые имитируют законные зависимости. Это делается для того, чтобы обмануть системы сборки и заставить их использовать вредоносный код вместо оригинального ПО. Поскольку некоторые менеджеры пакетов отдают предпочтение общедоступным репозиториям, такая уязвимость может быть использована хакерами для атаки.
Опасные примеры успешных атак
Хотя информация из логов чата Black Basta пока не подтверждает успешные атаки, она явно показывает намерение протестировать данный вектор. Рассмотрим несколько уже известных случаев:
- 2022-2025: Злоумышленник под псевдонимом xwlazssz загрузил версии легитимных пакетов с опечатками, которые содержали программное обеспечение-вымогатель. Эти пакеты скачивались более 1700 раз, прежде чем были удалены.
- Февраль 2025: Субъект под ником scorpionhantu опубликовал пакеты, которые необратимо перезаписывали локальные файлы, используя случайно сгенерированный ключ AES. Это программное обеспечение не уведомляло пользователей о требовании выкупа.
- 2024-2025: Участник с псевдонимами exzuperi10 и exzuperi14 загрузил пакеты, фокусируясь на фильтрации и сборе данных о системной среде с целью монетизации через вымогательство.
Заключение: растущая угроза
Появление таких атак подчеркивает необходимость повышенной внимательности со стороны разработчиков и пользователей. Эти злоумышленники не только ставят под угрозу целостность программного обеспечения, но и представляют серьезную угрозу для конфиденциальности данных, способствуя компрометации или шантажу.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



